WO2022090012A1 - Verfahren zum betreiben eines sicherheitssystems - Google Patents

Verfahren zum betreiben eines sicherheitssystems Download PDF

Info

Publication number
WO2022090012A1
WO2022090012A1 PCT/EP2021/079039 EP2021079039W WO2022090012A1 WO 2022090012 A1 WO2022090012 A1 WO 2022090012A1 EP 2021079039 W EP2021079039 W EP 2021079039W WO 2022090012 A1 WO2022090012 A1 WO 2022090012A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
monitoring
received
backend
monitoring data
Prior art date
Application number
PCT/EP2021/079039
Other languages
English (en)
French (fr)
Inventor
Hans-Leo ROSS
Kurt ECKERT
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to US18/005,689 priority Critical patent/US20230300609A1/en
Priority to CN202180074230.0A priority patent/CN116472783A/zh
Priority to EP21794836.3A priority patent/EP4238336A1/de
Publication of WO2022090012A1 publication Critical patent/WO2022090012A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks

Definitions

  • the invention relates to a method for operating a security system.
  • the invention also relates to a backend device or a communication device (e.g. car2car or car2infrastructure).
  • the invention also relates to a device.
  • the invention also relates to a security system.
  • the invention also relates to a computer program product.
  • Deterministic or semi-deterministic methods which can be carried out on known bus systems such as Flexray, CAN, etc., are characterized by the fact that a clear data flow with known communication endpoints must be defined during development. especially the The necessity that the traffic environment has to be continuously monitored and that new combinations of states, events and effectiveness are constantly coming at the vehicle in very different ways requires continuous observation of the traffic environment and the actors (e.g. people, drivers, pedestrians, cyclists, occupants, other road users, etc.) on the road. These actuators also behave very differently under heterogeneous boundary conditions, especially in stressful situations or in changing weather conditions.
  • WO 2017/053454 A1 discloses communication network architectures, systems and methods for connecting to a network of moving things.
  • a request from a mobile access point installed in a vehicle may be received via a network interface circuit of one or more computing devices.
  • the processing circuitry of the one or more computing devices may determine characteristics of a captive portal to be presented in response to the request based on the current location of the vehicle and the mobile access point.
  • a captive portal with the determined characteristics is then provided by the processing circuitry via the network interface circuitry in response to the request.
  • the object is achieved with a method for operating a security system, having the steps: providing data and monitoring data on a backend device;
  • a safety system or a system is advantageously provided that can meet defined requirements with regard to functional safety.
  • the monitoring dates are either cyclical and a receiver knows this implicitly or there was a previous date signaling when the next date is to be expected.
  • the availability of an autonomous driving function of an automated vehicle can advantageously be expanded by making autonomous driving available even in problematic traffic scenarios.
  • the mentioned driving function can advantageously be provided beyond the vehicle at least partially by means of an infrastructure on the route, whereby a determinism of a data flow for the automated vehicle is largely supported.
  • the monitoring data form a "heartbeat" of the system, which indicates whether the system is still functional via the air interface and is therefore able to transmit control data.
  • the system specifies a time frame in which the current communication function can be ensured.
  • the object is achieved with a backend device, having: a control device; a transmitter; a first data switch; and a first monitoring module; wherein user data and monitoring data can be transmitted on independent channels of a radio interface by means of the first data switching device and the first monitoring module.
  • This monitoring module also checks the technical requirements of the transmission device, which are necessary for the successful transmission of the relevant data.
  • the control device controls the timing of the transmission process within the framework of the specification.
  • control flow monitoring In the case of the transmission module, the correct and timely control of the communication (control flow monitoring) is monitored with the aid of the monitoring unit, and the correctness and timeliness of the content of the useful information is also monitored (data flow monitoring). This measure is also implemented accordingly on the receiver side. Independence can also be provided by underlying other certificates, keys (CRC, hashes, etc.).
  • the object is achieved with a device, comprising: a receiving device; a detection device; a controller; a second data switch; and a second monitoring module; wherein user data and monitoring data can be received on independent channels of a radio interface by means of the second data switching device and the second monitoring module and/or have been received in good time and at the correct time.
  • the object is achieved with a security system comprising: a proposed backend device; a proposed device setup; and a radio interface arranged therebetween; wherein a data transmission from the backend device to the device device can be monitored via the radio interface.
  • the object is achieved with a computer program product with program code means that is set up to carry out the proposed method when it is based on a proposed security system runs or is stored on a computer-readable data carrier.
  • An advantageous development of the method provides that the user data is offered to a publication module of the backend device.
  • a sequence of the proposed method can be initiated by making available, for example, useful data from objects detected by sensors.
  • a further advantageous development of the method provides for the data to be encrypted on the backend device and to be transmitted in encrypted form over the air interface.
  • a high level of security for the proposed method is advantageously supported in this way, and time information is also sent as part of the information so that the receiving unit can check whether it has been received in time.
  • a further advantageous development of the method provides for the data to be received by a data switching device on the device and distributed to registered components of the device. This supports the fact that only registered components can receive the intended data received in a monitored manner via monitoring data. This also advantageously supports a high level of security for the proposed method.
  • a further advantageous development of the method provides for the reception of the monitoring data to be checked cyclically by the device, with the device knowing the times at which the monitoring data are to be received. This makes it possible for the device to check in a simple manner whether monitoring data is received at an intended point in time, which advantageously supports determinism of the data transmission.
  • a further advantageous development of the method provides that in the event that the monitoring data is not received by the device, a device operated with the device is placed in a safe state or the function implemented on the basis of the data is adapted such that the device continues can be operated safely. In this case, it can be provided, for example, that an autonomous vehicle operated by means of the device is put into a safe state, for example stopped, parked, etc., or that, for example, the maximum permissible speed is correspondingly reduced.
  • Disclosed method features result analogously from corresponding disclosed device features and vice versa. This means in particular that features, technical advantages and explanations relating to the method result in an analogous manner from corresponding explanations, features and advantages relating to the individual components of the safety system or the safety system and vice versa.
  • 1 is a block diagram of the proposed security system
  • FIG. 2 shows a communication diagram of a proposed information flow between backend device and device device
  • 4 shows a representation of a transmission of monitoring data
  • 5 shows a basic sequence of a proposed method for operating a security system.
  • automated vehicle is used synonymously in the meanings of fully automated vehicle, partially automated vehicle, fully autonomous vehicle and partially autonomous vehicle.
  • a “safety system” is understood to mean a system that can provide defined requirements with regard to functional safety.
  • the safety-critical information and its control flow must be prioritized accordingly. It is proposed to separate a data flow from a monitoring data flow.
  • the data flow is optimized according to performance requirements, with appropriate templates being created for the protocol structure and coordinated between the sender and the respective recipients.
  • a redundant data stream can be transmitted wirelessly with maximum power via two independent channels.
  • data contents together with associated, defined security keys are transmitted in a first path and monitoring data, which control the transmission of the data, are transmitted in a second path.
  • this represents a handshake between con- trol and data flow monitoring via the air interface.
  • independent physical paths is only one variant.
  • the monitoring data can be transmitted on the same physical channel, although in any case they are logically separated from the user data.
  • a preferred embodiment of the proposed method uses the standardized CPM protocol for the proposed monitored data transmission, which provides different templates and formats for security-relevant objects in their context and their temporal assignment.
  • CPM protocol for the proposed monitored data transmission
  • other suitable data transmission protocols are also conceivable for data transmission via the air interface. Permanently transferring this amount of data for all scenarios, situations and degradation scenarios would lead to an immense flood of data.
  • Security modules on a sender and receiver side therefore ensure that correct data is assembled at the right time with the correct security attributes and is made available for communication via the air interface. Furthermore, these security modules check the security integrity of the transmitted data.
  • a data switching device arranged on the transmitter and receiver side compiles the data according to the respective situation, the respective status, etc., and prepares them for communication via the air interface. If this is implemented correctly, taking into account all security requirements, certain security certificates are selected by the security module and made available to secure communication.
  • a final security authority in the form of a monitoring module monitors the entire process and issues a master security certificate for a certain period of time. This is communicated to the receivers in the devices with the highest priority.
  • This master security certificate also controls the data processing on the receiving end and ensures that the measures taken based on the transmitted information correspond to the data quality and transmission quality.
  • the data switching equipment can act as a server in a client-server communication to the various clients in the vehicles or also to the various then provide different consumers in the vehicle with the necessary data, including the relevant safety certificates.
  • This master security certificate also ensures the basic function for communication when it is received correctly and on time and acts as the last final shutdown device, whereby this can also be designed dynamically or fault-tolerantly like a window watchdog.
  • FIG. 1 shows an embodiment of a proposed security system 100 for communicating infrastructure data to an at least partially automated device (e.g., vehicle, not shown).
  • a backend device 10 and a device device 20 can be seen, which can communicate with one another via an air interface 30 (e.g. mobile radio link, WLAN connection, etc.).
  • a communication chain from an infrastructure sensor system to a vehicle controlled by the device 20 is indicated.
  • a control device 1 and a transmission device 2 can be seen in a first level of detail L1 of the backend device 10.
  • a receiving device 11, a detection device 12 and a control device 13 for controlling the at least partially automated device can also be seen on the device device 20.
  • Sensors S are provided for detecting an area surrounding the at least partially automated device.
  • Actuators A such as actuators of the vehicle, steering, brakes, etc. are used to operate the at least partially automated device.
  • control device 1 has a detection module 1a and a publication module 1b, with the detection module 1a being responsible in particular for data fusion and the publication module 1b in particular for publishing or offering data from detected objects Oi . . . O n .
  • backend device 10 has a first data transmission device 3 and a first monitoring device 4 (“heartbeat module”).
  • FIG. 2 shows flows of user data D and monitoring data SD from the backend device 10 to the device device 20, which can be implemented with the security system 100 from FIG.
  • Objects 01, 02 can be recognized, for example in the form of a vehicle or a person, which is detected by a sensor system S (e.g. camera in a parking garage, camera at the side of the road, etc.) of the backend device 10 and sent by data stream via an air interface 30 to the device controlling device device 20 is transmitted.
  • a sensor system S e.g. camera in a parking garage, camera at the side of the road, etc.
  • the backend device 10 e.g. camera in a parking garage, camera at the side of the road, etc.
  • the user data D and the monitoring data SD are transmitted on independent channels of the air interface 30, with the monitoring data SD being able to monitor correct functionality of the air interface 30.
  • Fig. 3 shows the processing of data packets through to the checking of security integrity and the handshakes required for this between individual components of the backend device 10 and the device device 20.
  • a connection to a first data switching device 3 of the backend device 10 is set up, the establishment of which is confirmed in a step S3.
  • a connection is established on the device 20 between a subscription module 12a of the detection device 12 and a second data switching device 14 on the device 20, which is confirmed in a step S5 after it has been executed.
  • the subscription module 12a registers for desired data relating to objects Oi . . . O n .
  • Steps S1 . . . S6 can be carried out once or several times at defined points in time on the part of the backend device 10 or the device device 20 .
  • a step S7 new data relating to objects Oi...On detected by sensors in the environment of the at least partially automated device is offered or published to the first data exchange device 3 of said data and transmission of the signed data to the first data switching device 3.
  • the first data switching device 3 issues a command to a first communication module 2b to transmit the signed messages via the air interface 30.
  • a step S11 carried out on the device device 20 the received data concerning the objects Oi...O n are confirmed.
  • the security information of the data is checked and confirmed in a step S13 to the second data switching device 14, which is now transmitted in a step S14 the received and checked data to the subscription module 12a.
  • Fig. 3 thus illustrates a structuring of the data flow between the backend device 10 and the device device 20 via the air interface 30.
  • the backend device 10 can, for example, have sensors and/or algorithms, etc., which are not available on the device device 20 or cannot be executed there (e.g. due to a lack of computing power).
  • steps S15, S16 a security status of the monitoring data SD is checked between the acquisition module 1a and the publication module 1b of the backend device 10.
  • the security module 2a checks the master security certificate issued by the backend device 10 for the user data D, which is confirmed to the first data switching device 3 in a step S18.
  • a step S19 the monitoring data SD are transmitted via the air interface 30 by means of a first communication module 2b.
  • step S20 Gene cyclic checks whether the monitoring data SD at the first data switching device 3 are available.
  • a step S21 the monitoring data SD received by a second communication module 11a of the receiving device 11 of the device 20 is forwarded to the second data switching device 14.
  • the received monitoring data SD is forwarded to the security module 11b of the receiving device 11 of the device 20.
  • steps S23 it is checked whether the monitoring data SD have arrived at the second data switching device 14 at the expected times.
  • steps S24, S25 it is confirmed that data communication over the air interface 30 is secure for a defined period of time (e.g. for n milliseconds).
  • FIG. 4 thus shows a transmission of the monitoring data SD between the backend device 10 and the device device 20, which is used to check whether the air interface 30 is functional.
  • the monitoring data SD are preferably generated cyclically and transmitted via the air interface 30, as a result of which the device 20 always knows when the next data packet of the monitoring data SD must arrive.
  • 5 shows a basic sequence of a proposed method.
  • a step 200 user data D and monitoring data SD are provided on a backend device 10.
  • a step 210 the user data D is transmitted via a first channel and the monitoring data SD is transmitted via a second channel of an air interface 30 to a device 20.
  • a step 220 it is checked whether the monitoring data SD were received at the expected times. If this is the case, the user data D are transmitted to the device 20 in a step 230 .
  • the user data D are not transmitted to the device 20 in a step 240, in which case the device controlled by the device 20 is switched to a safe state, for example.
  • the proposed method can be used advantageously, for example, when parking a vehicle automatically and/or when operating an automated vehicle in an urban environment.
  • externally controlled operation of the at least partially automated vehicle at increased speed is conceivable.
  • Applications for operating at least partially automated production machines in an industrial environment, such as real-time capable production robotics, etc. are also conceivable.
  • the proposed method can advantageously be implemented in the form of a software program with suitable program code means, which runs on a security system with the components explained above. A simple adaptability of the method is possible in this way.
  • the proposed method can advantageously be used for automated parking of a vehicle and/or for at least partially automated driving of a vehicle in an urban environment.
  • the number of channels of the security system is also greater than two.
  • the number of channels can also be one if the data and control flow monitoring and the other security mechanisms are embedded in a common container including the useful information.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Selective Calling Equipment (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte: - Bereitstellen von Nutzdaten (D) und Überwachungsdaten (SD) auf einer Backendeinrichtung (10); - Übertragen der Nutzdaten (D) über einen ersten Kanal und Übertragen der Überwachungsdaten (SD) über einen zweiten Kanal einer Luftschnittstelle (30) an eine Vorrichtungseinrichtung (20); wobei - die Nutzdaten (D) nur dann an die Vorrichtungseinrichtung (20) übertragen werden, wenn auf der Vorrichtungseinrichtung (20) die Überwachungsdaten (SD) zyklisch empfangen werden.

Description

Beschreibung
Titel
Verfahren zum Betreiben eines Sicherheitssystems
Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitssystems. Die Erfindung betrifft ferner eine Backendeinrichtung bzw. eine Kommunikationseinrichtung (e.g. Car2Car oder Car2lnfrastruktur). Die Erfindung betrifft ferner eine Vorrichtungseinrichtung. Die Erfindung betrifft ferner ein Sicherheitssystem. Die Erfindung betrifft ferner ein Computerprogrammprodukt.
Stand der Technik
Bekannte automatisierte Fahrfunktionen basieren weitgehend auf einer Ende-zu- Ende-Absicherung von Datenströmen. Dies gilt sowohl für eine Rechner-interne Kommunikation als auch für eine Steuergeräte-übergreifende Kommunikation bis hin zu C2X-Kommunikation (engl. Car-to-X). Dies kann so zu einem kooperativen Verhalten in digitalen Straßenverkehrsnetzen nicht mehr umgesetzt werden, da hierbei eine Kommunikation mit wechselnden, nur bedingt vorhersagbaren Teilnehmern erfolgt und teilweise auf Broadcast- oder Multicast-Kommunikation aufgebaut wird. Weiterhin gibt es immer mehr semantische Kommunikationssysteme (OPC-llA), die mit einem Teil einer Nachricht einen Kontext für eine nachfolgende Nutzinformation liefern.
Einflüsse aus der Infrastruktur, Wetter, plötzliche Hindernisse auf der Straße, Fehlverhalten anderer Verkehrsteilnehmer, usw. erfordern eine dynamische Kommunikation der neuen oder geänderten Sicherheitsszenarien. Deterministische oder semi-deterministische Verfahren, die z.B. auf bekannten Bussystemen, wie z.B. Flexray, CAN, usw. durchgeführt werden können, zeichnen sich dadurch aus, dass ein eindeutiger Datenfluss mit bekannten Kommunikationsendpunkten während der Entwicklung definiert werden muss. Insbesondere die Notwendigkeit, dass die Verkehrsumgebung kontinuierlich überwacht werden muss und immer wieder neue Kombinationen aus Zuständen, Ereignissen und Wirksamkeit auf sehr unterschiedlicher Art auf das Fahrzeug zukommen, bedarf einer kontinuierlichen Beobachtung der Verkehrsumgebung und der Aktoren (z.B. Personen, Fahrer, Fußgänger, Radfahrer, Insassen, andere Verkehrsteilnehmer, usw.) im Straßenverkehr. Diese Aktoren verhalten sich zudem sehr unterschiedlich unter heterogen Randbedingungen insbesondere in Stresssituationen oder bei wechselnden Wetterbedingungen. Diese neuen Erkenntnisse und die Risiken, die daraus hervorgehen, müssen als Information dem Fahrzeugführer oder den Fahrzeugführenden Systemen zur Verfügung gestellt werden. Ansonsten können die technischen Systeme zur Fahrzeugführung nicht angemessen auf seltene und ungewöhnliche Ereignisse und deren Kombinationen in der Verkehrsumgebung reagieren. Der zuvor erwähnte Determinismus in Bezug auf Datenflüsse und Kommunikationsteilnehmer ist in solchen Szenarien weitestgehend nicht mehr gegeben. Dies gilt insbesondere, wenn die Kommunikation auf Multicast- oder Broadcast-Kommunikation basiert.
WO 2017/053454 A1 offenbart Kommunikationsnetzwerkarchitekturen, -Systeme und - verfahren zum Verbinden mit einem Netzwerk von sich bewegenden Dingen. Eine Anfrage von einem mobilen Zugangspunkt, der in einem Fahrzeug installiert ist, kann über eine Netzwerkschnittstellenschaltung eines oder mehrerer Computergeräte empfangen werden. Die Verarbeitungsschaltung des einen oder der mehreren Computergeräte kann Eigenschaften eines Captive-Portals bestimmen, die als Antwort auf die Anforderung basierend auf dem aktuellen Standort des Fahrzeugs und des mobilen Zugangspunkts präsentiert werden sollen. Ein Captive-Portal mit den bestimmten Eigenschaften wird dann von der Verarbeitungsschaltung über die Netzwerkschnittstellenschaltung als Antwort auf die Anforderung bereitgestellt.
Offenbarung der Erfindung
Es ist eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Betreiben eines Sicherheitssystems bereitzustellen.
Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einem Verfahren zum Betreiben eines Sicherheitssystems, aufweisend die Schritte: Bereitstellen von Daten und Überwachungsdaten auf einer Backendeinrichtung;
Übertragen der Nutzdaten über einen ersten Kanal und Übertragen der Überwachungsdaten über einen zweiten Kanal einer Luftschnittstelle an eine Vorrichtungseinrichtung; wobei die Nutzdaten nur dann an die Vorrichtungseinrichtung übertragen werden, wenn auf der Vorrichtungseinrichtung die Überwachungsdaten zyklisch in einem definierten zeitlichen Rahmen empfangen werden.
Auf diese Weise wird vorteilhaft ein Sicherheitssystem bzw. ein System bereitgestellt, das definierte Anforderungen in Bezug auf funktionale Sicherheit erfüllen kann. Die Überwachungsdaten sind entweder zyklisch und ein Empfänger weiß das implizit oder es gab ein vorheriges Datum, das signalisierte, wann das nächste Datum zu erwarten ist. Auf diese Weise kann vorteilhaft z.B. eine Verfügbarkeit einer autonomen Fahrfunktion eines automatisierten Fahrzeugs erweitert werden, indem autonomes Fahren auch in problematischen Verkehrsszenarien verfügbar gemacht wird.
Vorteilhaft kann auf diese Weise die genannte Fahrfunktion über das Fahrzeug hinaus wenigstens teilweise mittels einer Infrastruktur an der Fahrstrecke bereitgestellt werden, wodurch ein Determinismus eines Datenflusses für das automatisierte Fahrzeug weitgehend unterstützt ist. Die Überwachungsdaten bilden dabei gewissermaßen einen „Herzschlag“ des Systems, der angibt, ob das System über die Luftschnittstelle noch funktional ist und daher in der Lage ist, Steuerungsdaten zu übertragen. Weiterhin gibt das System einen zeitlichen Rahmen vor, in dem die aktuelle Kommunikationsfunktion sichergestellt werden kann.
Gemäß einem zweiten Aspekt wird die Aufgabe gelöst mit einer Backendeinrichtung, aufweisend: eine Steuerungseinrichtung; eine Sendeeinrichtung; eine erste Datenvermittlungseinrichtung; und ein erstes Überwachungsmodul; wobei mittels der ersten Datenvermittlungseinrichtung und des ersten Überwa- chungsmoduls Nutzdaten und Überwachungsdaten auf unabhängigen Kanälen einer Funkschnittstelle übertragbar sind. Dieses Überwachungsmodul prüft auch die technischen Voraussetzungen der Sendeeinrichtung, die zu einer erfolgreichen Übertragung der relevanten Daten notwendig sind. Auf Basis der Fähigkeiten steuert die Steuereinrichtung im Rahmen der Spezifikation den Sendevorgang zeitlich aus.
Im Falle des Sendemoduls wird mit Hilfe der Überwachungseinheit die korrekte und rechtzeitige Steuerung der Kommunikation (Control-Flow-Monitoring) überwacht und auch die inhaltliche Korrektheit und Rechtzeitigkeit der Nutzinformation (Data-Flow- Monitoring) überwacht. Diese Maßnahme wird so ebenfalls auf der Empfängerseite entsprechend umgesetzt. Eine Unabhängigkeit kann auch durch unterliegende andere Zertifikate, Schlüssel (CRC, hashes, usw.) bereitgestellt werden.
Gemäß einem dritten Aspekt wird die Aufgabe gelöst mit einer Vorrichtungseinrichtung, aufweisend: eine Empfangseinrichtung; eine Erfassungseinrichtung; eine Steuerungseinrichtung; eine zweite Datenvermittlungseinrichtung; und ein zweites Überwachungsmodul; wobei mittels der zweiten Datenvermittlungseinrichtung und des zweiten Überwa- chungsmoduls Nutzdaten und Überwachungsdaten auf unabhängigen Kanälen einer Funkschnittstelle empfangbar sind und/oder rechtzeitig und zeitlich korrekt empfangen wurden.
Gemäß einem vieren Aspekt wird die Aufgabe gelöst mit einem Sicherheitssystem aufweisend: eine vorgeschlagene Backendeinrichtung; eine vorgeschlagene Vorrichtungseinrichtung; und eine dazwischen angeordnete Funkschnittstelle; wobei eine Datenübertragung von der Backendeinrichtung zur Vorrichtungseinrichtung über die Funkschnittstelle überwachbar ist.
Gemäß einem fünften Aspekt wird die Aufgabe gelöst mit einem Computerprogrammprodukt mit Programmcodemitteln, das zur Durchführung des vorgeschlagenen Verfahrens eingerichtet ist, wenn es auf einem vorgeschlagenen Sicher- heitssystem abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
Vorteilhafte Weiterbildungen des Verfahrens sind Gegenstand von abhängigen Ansprüchen.
Eine vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Nutzdaten einem Veröffentlichungsmodul der Backendeinrichtung angeboten werden. Auf diese Weise kann ein Ablauf des vorgeschlagenen Verfahrens initiiert werden, indem zum Beispiel Nutzdaten von sensorisch erfassten Objekten verfügbar gemacht werden.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Daten auf der Backendeinrichtung verschlüsselt werden und verschlüsselt über die Luftschnittstelle übertragen werden. Ein hohes Sicherheitsniveau des vorgeschlagenen Verfahrens ist auf diese Weise vorteilhaft unterstützt, weiter wird eine Zeitinformation als Bestandteil der Information gesendet, damit die Empfangseinheit den rechtzeitigen Empfang prüfen kann.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Daten von einer Datenvermittlungseinrichtung auf der Vorrichtungseinrichtung empfangen und an registrierte Komponenten der Vorrichtungseinrichtung verteilt werden. Dadurch ist unterstützt, dass nur registrierte Komponenten die vorgesehenen, per Überwachungsdaten überwacht empfangenen Daten empfangen können. Auch dadurch ist ein hohes Sicherheitsniveau des vorgeschlagenen Verfahrens vorteilhaft unterstützt.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass der Empfang der Überwachungsdaten von der Vorrichtungseinrichtung zyklisch geprüft wird, wobei der Vorrichtungseinrichtung bekannt ist, zu welchen Zeitpunkten die Überwachungsdaten empfangen werden sollen. Dadurch wird es der Vorrichtungseinrichtung auf einfache Weise ermöglicht, zu prüfen, ob Überwachungsdaten zu einem vorgesehenen Zeitpunkt empfangen werden, wodurch ein Determinismus der Datenübertragung vorteilhaft unterstützt ist. Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass im Falle, dass die Überwachungsdaten von der Vorrichtungseinrichtung nicht empfangen werden, eine mit der Vorrichtungseinrichtung betriebene Vorrichtung in einen sicheren Zustand versetzt wird oder die aufgrund der Daten realisierte Funktion dahingehend angepasst wird, dass die Vorrichtung weiterhin sicher betrieben werden kann. In diesem Fall kann z.B. vorgesehen sein, dass ein mittels der Vorrichtung betriebenes autonomes Fahrzeug in einen sicheren Zustand versetzt wird, z.B. gestoppt, geparkt, usw. wird oder dass z.B. die maximal zulässige Geschwindigkeit entsprechend reduziert wird.
Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von mehreren Figuren detailliert beschrieben. Die Figuren sind vor allem dazu gedacht, die erfindungswesentlichen Prinzipien zu verdeutlichen.
Offenbarte Verfahrensmerkmale ergeben sich analog aus entsprechenden offenbarten Vorrichtungsmerkmalen und umgekehrt. Dies bedeutet insbesondere, dass sich Merkmale, technische Vorteile und Ausführungen betreffend das Verfahren in analoger Weise aus entsprechenden Ausführungen, Merkmalen und Vorteilen betreffend die einzelnen Komponenten des Sicherheitssystems bzw. das Sicherheitssystem ergeben und umgekehrt.
In den Figuren zeigt:
Fig. 1 ein Blockschaltbild des vorgeschlagenen Sicherheitssystems;
Fig. 2 ein Kommunikationsdiagramm eines vorgeschlagenen Informationsflusses zwischen Backendeinrichtung und Vorrichtungseinrichtung;
Fig. 3 eine Darstellung einer Übertragung von Daten;
Fig. 4 eine Darstellung einer Übertragung von Überwachungsdaten; und Fig. 5 einen prinzipiellen Ablauf eines vorgeschlagenen Verfahrens zum Betreiben eines Sicherheitssystems.
Beschreibung von Ausführungsformen
Im Folgenden wird der Begriff „automatisiertes Fahrzeug“ synonym in den Bedeutungen vollautomatisiertes Fahrzeug, teilautomatisiertes Fahrzeug, vollautonomes Fahrzeug und teilautonomes Fahrzeug verwendet.
Unter einem „Sicherheitssystem“ wird im Zusammenhang mit der vorliegenden Erfindung ein System verstanden, welches definierte Anforderungen in Bezug auf funktionale Sicherheit bereitstellen kann.
Jede Kombination von Risiken, die im Straßenverkehr denkbar sind, sollten in einem kooperativen Verkehrsverhalten von mehreren automatisiert fahrenden Systemen gleichzeitig beherrschbar sein. Konventionelle EE- und Sicherheitsarchitekturen können allerdings nicht auf kontinuierliche Umgebungseinflüsse reagieren und entsprechende Maßnahmen dynamisch anpassen. Auf alle sporadischen und auch zyklischen Ereignisse reagiert das Fahrzeug korrekterweise gleich. Daher muss neben den kritischen Effekten aus der Infrastruktur oder aus anderen Fahrzeugen bei der Entscheidung über adäquate Sicherheitsmaßnahmen auch ein Kontext zur richtigen Zeit und zur richtigen Situation berücksichtigt werden.
Daher müssen die sicherheitskritischen Informationen und deren Steuerfluss entsprechend priorisiert werden. Vorgeschlagen wird, einen Datenfluss von einem überwachenden Datenfluss zu separieren. Der Datenfluss wird gemäß Perfor- mance-Anforderungen optimiert, wobei entsprechende Templates für die Protokollstruktur angelegt und zwischen Sender und den jeweiligen Empfängern abgestimmt werden.
Erreicht wird auf diese Weise vorteilhaft, dass ein redundanter Datenstrom mit maximaler Leistung drahtlos über zwei unabhängige Kanäle übermittelt werden kann. Dabei werden in einem ersten Pfad Dateninhalte samt zugeordneter definierter Sicherheitsschlüssel und in einem zweiten Pfad Überwachungsdaten, die die Übertragung der Daten steuern, übertragen. Im Prinzip repräsentiert dies einen Handshake zwischen Con- trol- und Data-Flow-Monitoring über die Luftschnittstelle. Der Fall unabhängiger physikalischer Pfade ist allerdings nur eine Variante. Denkbar ist in einer Variante auch, dass die Überwachungsdaten auf dem gleichen physikalischen Kanal übertragen werden können, wobei sie aber in jedem Fall logisch von den Nutzdaten getrennt sind.
Eine bevorzugte Ausführungsform des vorgeschlagenen Verfahrens nutzt zur vorgeschlagenen überwachten Datenübertragung das standardisierte CPM-Protokoll, welches verschiedene Templates und Formate für sicherheitsrelevante Objekte in deren Kontext sowie deren zeitliche Zuordnung vorsieht. Denkbar sind für die Datenübertragung über die Luftschnittstelle jedoch auch andere geeignete Datenübertragungsprotokolle. Diese Datenmengen immer komplett für alle Szenarien, Situation und Degradationsszenarien permanent zu übertragen, würde zu einer immensen Datenflut führen. Sicherheitsmodule auf einer Sender- und Empfängerseite sorgen daher dafür, dass korrekte Daten zum richtigen Zeitpunkt mit richtigen Sicherheitsattributen zusammengesetzt werden und zur Kommunikation über die Luftschnittstelle bereitgestellt werden. Weiterhin prüfen diese Sicherheitsmodule eine Sicherheitsintegrität der übertragenen Daten.
Eine jeweils auf Sender- und Empfängerseite angeordnete Datenvermittlungseinrichtung stellt die Daten entsprechend der jeweiligen Situation, des jeweiligen Zustands, usw. zusammen und bereitet diese für die Kommunikation über die Luftschnittstelle vor. Wird dies korrekt unter Beachtung aller Sicherheitsanforderungen umgesetzt, werden durch das Sicherheitsmodul bestimmte Sicherheitszertifikate ausgewählt und zur Absicherung in der Kommunikation bereitgestellt.
Eine finale Sicherheitsinstanz in Form eines Überwachungsmoduls überwacht den gesamten Prozess und übergibt für einen bestimmten Zeitraum ein Master-Sicherheitszertifikat. Dies wird mit der höchsten Priorität zu den Empfängern in den Vorrichtungen kommuniziert.
Dieses Master-Sicherheitszertifikat kontrolliert auch die Datenverarbeitung auf der Empfängerseite und stellt sicher, dass die aufgrund der übertragenen Information eingeleiteten Maßnahmen der Datengüte und Übertragungsqualität entsprechen. Der Datenvermittlungseinrichtungen kann in dem Szenario als Server in einer Client-Server- Kommunikation den verschiedenen Clients in den Fahrzeugen oder auch den ver- schiedenen Konsumenten in dem Fahrzeug dann die notwenigen Daten inklusiver den relevanten Sicherheitszertifikaten bereitstellen. Dieses Master-Sicherheitszertifikat stellt auch beim korrekten und rechtzeitigen Empfang die prinzipielle Funktion für die Kommunikation sicher und fungiert als letzte finale Abschalteinrichtung, wobei diese wie ein Fenster-Watchdog auch dynamisch oder fehlertolerant ausgelegt werden kann.
Fig. 1 zeigt eine Ausführungsform eines vorgeschlagenen Sicherheitssystems 100, mit den Infrastrukturdaten zu einer wenigstens teilweise automatisierten Vorrichtung (z.B. Fahrzeug, nicht dargestellt), übertragen werden können. Man erkennt eine Backendeinrichtung 10 und eine Vorrichtungseinrichtung 20, die über eine Luftschnittstelle 30 (z.B. Mobilfunkstrecke, WLAN-Verbindung, usw.) miteinander kommunizieren können. Angedeutet ist eine Kommunikationskette von einer Infrastruktur-Sensorik bis in ein mit der Vorrichtungseinrichtung 20 gesteuertes Fahrzeug.
Man erkennt in einem ersten Detaillierungsgrad L1 der Backendeinrichtung 10 eine Steuerungseinrichtung 1 sowie eine Sendeeinrichtung 2. Ferner erkennt man auf der Vorrichtungseinrichtung 20 eine Empfangseinrichtung 11, eine Erfassungseinrichtung 12 sowie eine Steuerungseinrichtung 13 zum Steuern der wenigstens teilweise automatisierten Vorrichtung.
Sensoren S sind zur Erfassung eines Umfelds der wenigstens teilweise automatisierten Vorrichtung vorgesehen. Aktoren A, wie zum Beispiel Aktoren des Fahrzeugs, Lenkung, Bremsen, usw. dienen zum Betreiben der wenigstens teilweise automatisierten Vorrichtung.
In einem Detaillierungsgrad L2 erkennt man die vorgehend genannten Komponenten höher aufgelöst. Man erkennt, dass die Steuerungseinrichtung 1 ein Erfassungsmodul 1a sowie ein Veröffentlichungsmodul 1b aufweist, wobei das Erfassungsmodul 1a insbesondere für eine Datenfusionsierung und das Veröffentlichungsmodul 1b insbesondere für ein Publizieren bzw. Anbieten von Daten von erfassten Objekten Oi...On zuständig ist. Ferner erkennt man, dass die Backendeinrichtung 10 eine erste Datenvermittlungseinrichtung 3 sowie eine erste Überwachungseinrichtung 4 („Herzschlagmodul“) aufweist. Fig. 2 zeigt Flüsse von Nutzdaten D sowie Überwachungsdaten SD von der Backendeinrichtung 10 an die Vorrichtungseinrichtung 20 an, die mit dem Sicherheitssystem 100 von Fig. 1 realisierbar ist. Man erkennt Objekte 01 , 02 zum Beispiel in Form eines Fahrzeugs oder einer Person, die mittels einer Sensorik S (z.B. Kamera in einem Parkhaus, Kamera am Straßenrand, usw.) der Backendeinrichtung 10 erfasst und per Datenstrom über eine Luftschnittstelle 30 an die die Vorrichtung steuernde Vorrichtungseinrichtung 20 übermittelt wird. Dabei werden die Nutzdaten D und die Überwachungsdaten SD auf unabhängigen Kanälen der Luftschnittstelle 30 übertragen, wobei mittels der Überwachungsdaten SD eine ordnungsgemäße Funktionalität der Luftschnittstelle 30 überwacht werden kann.
Im Ergebnis ist dadurch unterstützt, dass kontinuierlich überwacht wird, ob die Luftschnittstelle 30 noch funktional ist und somit die Nutzdaten D in geordneter Weise von der Backendeinrichtung 10 an die Vorrichtungseinrichtung 20 übermittelt werden können. Ein Determinismus der Datenübertragung von der Backendeinrichtung 10 an die Vorrichtungseinrichtung 20 ist auf diese Weise vorteilhaft verbessert, wodurch sich die Vorrichtung effizient wenigstens teilweise „von extern“ steuern lässt.
Fig. 3 zeigt eine Aufbereitung von Datenpaketen bis hin zur Überprüfung von Sicherheitsintegrität und die dafür notwendigen Hand-shakes zwischen einzelnen Komponenten der Backendeinrichtung 10 und der Vorrichtungseinrichtung 20.
Man erkennt, dass innerhalb der Backendeinrichtung 10 in einem Schritt S1 Daten von erfassten Objekten Oi ... On an ein Veröffentlichungsmodul 1 b der Steuerungseinrichtung 1 übermittelt werden. In einem Schritt S2 wird eine Verbindung zu einer ersten Datenvermittlungseinrichtung 3 der Backendeinrichtung 10 aufgebaut, deren erfolgter Aufbau in einem Schritt S3 bestätigt wird. Auf der Vorrichtungseinrichtung 20 erfolgt in einem Schritt S4 ein Verbindungsaufbau zwischen einem Subskriptionsmodul 12a der Erfassungseinrichtung 12 und einer zweiten Datenvermittlungseinrichtung 14 auf der Vorrichtungseinrichtung 20, der in einem Schritt S5 nach erfolgter Ausführung bestätigt wird. In einem Schritt S6 erfolgt ein Anmelden des Subskriptionsmoduls 12a für gewünschte Daten betreffend Objekte Oi ...On. Die Schritte S1...S6 können zu definierten Zeitpunkten auf Seiten der Backendeinrichtung 10 bzw. der Vorrichtungseinrichtung 20 ein- oder auch mehrmalig durchgeführt werden.
In einem Schritt S7 erfolgt ein Anbieten bzw. Publizieren von neuen Daten betreffend sensorisch erfasste Objekte Oi...On im Umfeld der wenigstens teilweise automatisierten Vorrichtung an die erste Datenvermittlungseinrichtung 3. In einem Schritt S8 erfolgt von der ersten Datenvermittlungseinrichtung 3 eine Anweisung zum Signieren der genannten Daten sowie ein Übermitteln der signierten Daten an die erste Datenvermittlungseinrichtung 3. In einem Schritt S10 erteilt die erste Datenvermittlungseinrichtung 3 an ein erstes Kommunikationsmodul 2b einen Befehl zur Übertragung der signierten Nachrichten über die Luftschnittstelle 30. In einem auf der Vorrichtungseinrichtung 20 durchgeführten Schritt S11 werden die empfangenen Daten betreffend die Objekte Oi...On bestätigt. In einem Schritt S12 werden die Sicherheitsinformationen der Daten geprüft und in einem Schritt S13 an die zweite Datenvermittlungseinrichtung 14 bestätigt, die nunmehr in einem Schritt S14 die empfangenen und geprüften Daten an das Subskriptionsmodul 12a übermittelt werden. Im Ergebnis illustriert Fig. 3 somit eine Strukturierung des Datenflusses zwischen der Backendeinrichtung 10 und der Vorrichtungseinrichtung 20 über die Luftschnittstelle 30.
Dabei kann die Backendeinrichtung 10 z.B. Sensoren und/oder Algorithmen, usw. aufweisen, die auf der Vorrichtungseinrichtung 20 nicht verfügbar sind bzw. dort nicht ausgeführt werden können (z.B. aufgrund von fehlender Rechenleistung).
Fig. 4 zeigt die unabhängige Überwachung des Datenflusses mittels der Überwa- chungsdaten SD. In Schritten S15, S16 wird eine Prüfung eines Sicherheitsstatus der Überwachungsdaten SD zwischen dem Erfassungsmodul 1a bzw. dem Veröffentlichungsmodul 1b der Backendeinrichtung 10 durchgeführt. Das Sicherheitsmodul 2a prüft in einem Schritt S17 das von der Backendeinrichtung 10 für die Nutzdaten D vergebene Master-Sicherheitszertifikat, was in einem Schritt S18 an die erste Datenvermittlungseinrichtung 3 bestätigt wird.
In einem Schritt S19 werden die Überwachungsdaten SD mittels eines ersten Kommunikationsmoduls 2b über die Luftschnittstelle 30 übermittelt. In einem Schritt S20 erfol- gen zyklische Prüfungen, ob die Überwachungsdaten SD an der ersten Datenvermittlungseinrichtung 3 vorhanden sind.
In einem Schritt S21 werden die von einem zweiten Kommunikationsmodul 11a der Empfangseinrichtung 11 der Vorrichtungseinrichtung 20 empfangenen Überwachungsdaten SD an die zweite Datenvermittlungseinrichtung 14 weitergeleitet. In einem Schritt 22 erfolgt eine Weiterleitung der empfangenen Überwachungsdaten SD an das Sicherheitsmodul 11b der Empfangseinrichtung 11 der Vorrichtungseinrichtung 20. In zyklisch durchgeführten Schritten S23 wird geprüft, ob an der zweiten Datenvermittlungseinrichtung 14 die Überwachungsdaten SD zu erwarteten Zeitpunkten eingetroffen sind.
In Schritten S24, S25 wird bestätigt, dass die Datenkommunikation über die Luftschnittstelle 30 für einen definierten Zeitraum (z.B. für n Millisekunden) sicher ist.
Im Ergebnis zeigt Fig. 4 somit eine Übertragung der Überwachungsdaten SD zwischen der Backendeinrichtung 10 und der Vorrichtungseinrichtung 20, mittels derer geprüft wird, ob die Luftschnittstelle 30 funktional ist.
Die Überwachungsdaten SD werden vorzugsweise zyklisch generiert und über die Luftschnittstelle 30 übertragen, wodurch der Vorrichtungseinrichtung 20 stets bekannt ist, wann das nächste Datenpaket der Überwachungsdaten SD kommen muss.
Fig. 5 zeigt einen prinzipiellen Ablauf eines vorgeschlagenen Verfahrens.
In einem Schritt 200 erfolgt ein Bereitstellen von Nutzdaten D und Überwachungsdaten SD auf einer Backendeinrichtung 10.
In einem Schritt 210 erfolgt ein Übertragen der Nutzdaten D über einen ersten Kanal und ein Übertragen der Überwachungsdaten SD über einen zweiten Kanal einer Luftschnittstelle 30 an eine Vorrichtungseinrichtung 20.
In einem Schritt 220 wird geprüft, ob die Überwachungsdaten SD zu erwarteten Zeitpunkten empfangen wurden. Falls dies zutrifft, werden die Nutzdaten D in einem Schritt 230 an die Vorrichtungseinrichtung 20 übertragen.
Falls dies nicht zutrifft, werden die Nutzdaten D in einem Schritt 240 nicht an die Vorrichtungseinrichtung 20 übertragen, wobei in diesem Fall die mittels der Vorrichtungseinrichtung 20 gesteuerte Vorrichtung z.B. in einen sicheren Zustand versetzt wird.
Vorteilhaft lässt sich das vorgeschlagene Verfahrens beispielsweise beim automatisierten Parken eines Fahrzeugs und/oder beim Betreiben eines automatisierten Fahrzeugs im urbanen Umfeld anwenden. Denkbar ist z.B. ein extern gesteuertes Betreiben des wenigstens teilweise automatisierten Fahrzeugs mit erhöhter Geschwindigkeit. Denkbar sind auch Anwendungen zum Betreiben von wenigstens teilweise automatisierten Fertigungsmaschinen in einem industriellen Umfeld, wie z.B. echtzeitfähige Fertigungsrobotik, usw.
Vorteilhaft kann das vorgeschlagene Verfahren in Form eines Softwareprogramms mit geeigneten Programmcodemitteln realisiert werden, das auf einem Sicherheitssystem mit den oben erläuterten Komponenten abläuft. Eine einfache Adaptierbarkeit des Verfahrens ist auf diese Weise möglich.
Vorteilhaft kann das vorgeschlagene Verfahren beim automatisierten Parken eines Fahrzeugs und/oder beim wenigstens teilweise automatisierten Fahren eines Fahrzeugs im urbanen Umfeld verwendet werden.
Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen. Beispielsweise kann vorgesehen sein, dass die Anzahl der Kanäle des Sicherheitssystems auch größer als zwei ist. Die Anzahl der Kanäle kann auch eins sein, wenn das Data- und Control-Flow-Monitoring und die anderen Sicherheitsmechanismen in einem gemeinsamen Container inklusive der Nutzinformation eingebettet werden.

Claims

Ansprüche
1. Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte:
Bereitstellen von Nutzdaten (D) und Überwachungsdaten (SD) auf einer Backendeinrichtung (10);
Übertragen der Nutzdaten (D) über einen ersten Kanal und Übertragen der Überwachungsdaten (SD) über einen zweiten Kanal einer Luftschnittstelle (30) an eine Vorrichtungseinrichtung (20); wobei die Nutzdaten (D) nur dann an die Vorrichtungseinrichtung (20) übertragen werden, wenn auf der Vorrichtungseinrichtung (20) die Überwachungsdaten (SD) zyklisch empfangen werden.
2. Verfahren nach Anspruch 1 , wobei die Nutzdaten (D) einem Veröffentlichungsmodul (1b) der Backendeinrichtung (10) angeboten werden.
3. Verfahren nach Anspruch 1 oder 2, wobei die Daten auf der Backendeinrichtung (10) verschlüsselt werden und verschlüsselt über die Luftschnittstelle (30) übertragen werden.
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nutzdaten (D) von einer Datenvermittlungseinrichtung (3) auf der Vorrichtungseinrichtung (20) empfangen und an registrierte Komponenten der Vorrichtungseinrichtung (20) verteilt werden.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Empfang der Überwachungsdaten (SD) von der Vorrichtungseinrichtung (20) zyklisch geprüft wird, wobei der Vorrichtungseinrichtung (20) bekannt ist, zu welchen Zeitpunkten die Überwachungsdaten (SD) empfangen werden sollen.
6. Verfahren nach Anspruch 5, wobei im Falle, dass die Überwachungsdaten (SD) von der Vorrichtungseinrichtung (20) nicht empfangen werden, eine mit der Vorrichtungseinrichtung (20) betriebene Vorrichtung in einen sicheren Zustand versetzt wird oder die aufgrund der Daten realisierte Funktion dahingehend angepasst wird, dass die Vorrichtung weiterhin sicher betrieben werden kann. Backendeinrichtung (10), aufweisend: eine Steuerungseinrichtung (1); eine Sendeeinrichtung (2); eine erste Datenvermittlungseinrichtung (3); und ein erstes Überwachungsmodul (4); wobei mittels der ersten Datenvermittlungseinrichtung (3) und des ersten Überwa- chungsmoduls (4) Nutzdaten (D) und Überwachungsdaten (SD) auf unabhängigen Kanälen einer Funkschnittstelle (30) übertragbar sind. Vorrichtungseinrichtung (20), aufweisend: eine Empfangseinrichtung (11); eine Erfassungseinrichtung (12); eine Steuerungseinrichtung (13); eine zweite Datenvermittlungseinrichtung (14); und ein zweites Überwachungsmodul (15); wobei mittels der zweiten Datenvermittlungseinrichtung (14) und des zweiten Über- wachungsmoduls (15) Nutzdaten (D) und Überwachungsdaten (SD) auf unabhängigen Kanälen einer Funkschnittstelle (30) empfangbar sind und/oder rechtzeitig und zeitlich korrekt empfangen wurden. Sicherheitssystem (100), aufweisend: eine Backendeinrichtung (10) nach Anspruch 8; und eine Vorrichtungseinrichtung (20) nach Anspruch 9; und eine dazwischen angeordnete Funkschnittstelle (30); wobei eine Datenübertragung von der Backendeinrichtung (10) zur Vorrichtungseinrichtung (20) über die Funkschnittstelle (30) überwachbar ist. Computerprogrammprodukt mit Programmcodemitteln eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 6, wenn es auf einem Sicherheitssystem (100) abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
PCT/EP2021/079039 2020-10-28 2021-10-20 Verfahren zum betreiben eines sicherheitssystems WO2022090012A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US18/005,689 US20230300609A1 (en) 2020-10-28 2021-10-20 Method for operating a security system
CN202180074230.0A CN116472783A (zh) 2020-10-28 2021-10-20 用于运行安全系统的方法
EP21794836.3A EP4238336A1 (de) 2020-10-28 2021-10-20 Verfahren zum betreiben eines sicherheitssystems

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020213522.3 2020-10-28
DE102020213522.3A DE102020213522A1 (de) 2020-10-28 2020-10-28 Verfahren zum Betreiben eines Sicherheitssystems

Publications (1)

Publication Number Publication Date
WO2022090012A1 true WO2022090012A1 (de) 2022-05-05

Family

ID=78302779

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/079039 WO2022090012A1 (de) 2020-10-28 2021-10-20 Verfahren zum betreiben eines sicherheitssystems

Country Status (5)

Country Link
US (1) US20230300609A1 (de)
EP (1) EP4238336A1 (de)
CN (1) CN116472783A (de)
DE (1) DE102020213522A1 (de)
WO (1) WO2022090012A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170078902A1 (en) * 2015-09-15 2017-03-16 Kabushiki Kaisha Toshiba Wireless communication device
WO2017053454A1 (en) 2015-09-22 2017-03-30 Veniam, Inc. Systems and methods for interfacing with a network of moving things
US20190059116A1 (en) * 2015-10-05 2019-02-21 Henri Crohas Method and device for wireless communication between connected objects and gateways
US10267652B1 (en) * 2018-01-23 2019-04-23 Mueller International, Llc Node communication with unknown network ID

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE592795C (de) 1930-07-08 1934-02-15 Bianchi Giuseppe Totmanneinrichtung fuer Zuege oder Fahrzeuge
DE10048863A1 (de) 2000-10-02 2002-04-25 Kurt Bindl System zur Überwachung des Servicepersonals von technischen Einrichtungen
DE102015205607A1 (de) 2015-03-27 2016-09-29 Siemens Aktiengesellschaft Verfahren zum Überwachen einer Netzwerkkomponente sowie Anordnung mit einer Netzwerkkomponente und einer Überwachungs-Einrichtung
DE102016113499A1 (de) 2016-07-21 2018-01-25 Huf Hülsbeck & Fürst Gmbh & Co. Kg Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts
DE102020001677A1 (de) 2020-03-13 2020-06-25 Daimler Ag Verfahren zur Absicherung einer Kommunikation zwischen einer fahrzeugexternen Service- und Überwachungseinheit und einem autonom fahrenden Fahrzeug, vorzugsweise einem Güter transportierenden Nutzfahrzeug

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170078902A1 (en) * 2015-09-15 2017-03-16 Kabushiki Kaisha Toshiba Wireless communication device
WO2017053454A1 (en) 2015-09-22 2017-03-30 Veniam, Inc. Systems and methods for interfacing with a network of moving things
US20190059116A1 (en) * 2015-10-05 2019-02-21 Henri Crohas Method and device for wireless communication between connected objects and gateways
US10267652B1 (en) * 2018-01-23 2019-04-23 Mueller International, Llc Node communication with unknown network ID

Also Published As

Publication number Publication date
CN116472783A (zh) 2023-07-21
US20230300609A1 (en) 2023-09-21
DE102020213522A1 (de) 2022-04-28
EP4238336A1 (de) 2023-09-06

Similar Documents

Publication Publication Date Title
EP2936747B1 (de) Datenübertragung unter nutzung eines protokollausnahmezustands
DE102016211750B4 (de) Verfahren zur spektral-effizienten Ermittlung von kollektiver Umfeld-Information für das kooperative und/oder autonome Fahren, sowie berichtendes Fahrzeug und weiteres Fahrzeug zur Verwendung bei dem Verfahren
EP2730076B1 (de) Datenauswahlverfahren zur verminderung des dekodierrechenaufwands eines fahrzeug-zu-x-kommunikationssystems und fahrzeug-zu-x-kommunikationssystem
WO2019170400A1 (de) Verfahren zur übertragung von daten über einen kommunikationskanal, entsprechend ausgelegte vorrichtung und kommunikationsschnittstelle sowie entsprechend ausgelegtes computerprogramm
EP3036886B1 (de) Filterung von infrastrukturbeschreibungsnachrichten
EP3661131A1 (de) Verfahren zur übertragung von daten über einen seriellen kommunikationsbus, entsprechend ausgelegte busschnittstelle sowie entsprechend ausgelegtes computerprogramm
WO2012130888A1 (de) Verfahren und fahrzeug-zu-x-kommunikationssystem zur selektiven prüfung von datensicherheitssequenzen empfangener fahrzeug-zu-x-botschaften
EP2761610B1 (de) Verfahren und system zur verteilten übertragung eines kommunikationsflusses sowie verwendung des systems
WO2013186154A1 (de) Ringförmiges netzwerk für ein fahrzeug
DE102011116247B3 (de) Verfahren zum Übertragen von Nachrichten aus einem Datennetzwerk an ein Fahrzeug und Servereinrichtung für ein Datennetzwerk
WO2015025048A2 (de) Filterung weiterzuleitender datenpakete im car2x-netzwerk
EP2801166A1 (de) Verfahren zur erkennung redundant empfangener informationen, fahrzeug-zu-x-kommunikationssystem und verwendung des systems
EP3777054B1 (de) Verfahren zum betreiben eines ethernet-bordnetzes eines kraftfahrzeugs, steuereinheit und ethernet-bordnetz
WO2018162176A1 (de) Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs
EP3332566B1 (de) Kraftfahrzeug mit einer kommunikationseinheit für mehrere steuereinheiten
WO2015036068A1 (de) Verfahren zur bereitstellung und übertragung von daten, insbesondere in verbindung mit einem fahrzeug
EP3228036A1 (de) Verfahren und steuergerät zur übertragung sicherheitsrelevanter daten in einem kraftfahrzeug mittels eines ethernet-standards
DE112012006248B4 (de) Datenverarbeitungsvorrichtung und Programm
EP2430797B1 (de) Steuergerät für fahrzeuge in der bidirektionalen adhoc-netzwerk-funkkommunikation
WO2021122362A1 (de) Kommunikation zwischen netzwerken eines kraftfahrzeugs
EP3085123B1 (de) Verfahren und system zur bestimmung einer anzahl zu verwerfender fahrzeug-zu-x-botschaften
WO2022090012A1 (de) Verfahren zum betreiben eines sicherheitssystems
EP3036885B1 (de) Iterative datenpaketerzeugung im car2x-netzwerk
EP3286958A1 (de) Verfahren und vorrichtung zur datenübertragung
DE102020000498A1 (de) Managementvorrichtung und Applikationsvorrichtung für ein Fahrzeugkommunikationssystem

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21794836

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202180074230.0

Country of ref document: CN

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021794836

Country of ref document: EP

Effective date: 20230530